INTRODUCCIÓN STUXNET
Stuxnet es un gusano que busca sistemas de control industriales y luego modifica el código en ellos para permitir que los atacantes tomen control de los sistemas sin que los operadores lo noten. Es el primer virus informático que permite hacer daño en el mundo físico. Es sofisticado, requirió importantes fondos económicos para ser desarrollado. Es también el primer ataque cibernético que ataca específicamente a sistemas de control industrial. El gusano esta hecho de un complejo código que requiere de muchas y diferentes habilidades para juntarlos. Los expertos de Symantec estiman que tomó entre cinco y diez personas durante seis meses para armar este proyecto además de que los involucrados deben tener conocimiento de los sistemas de control industrial y acceso a dichos sistemas para realizar pruebas de calidad; una vez más indicando que esto fue un proyecto con mucha organización y fondos disponibles. Recientemente se ha dado a conoces que el ataque de Stuxnet fue obra de Estados Unidos e Israel con el fin de atacar las instalaciones nucleares de Irán, aunque no se tenía previsto que es gusano infectara a gran cantidad ordenadores.
STUXNET
Stuxnet es un gusano informático descubierto en junio del 2010 por VirusBlockAda, una empresa de seguridad radicada en Bielorrusia.
La compañía europea de seguridad digital Kaspersky Labs describe a Stuxnet como “un prototipo funcional y aterrador de un arma cibernética que conduciría a la creación de una nueva carrera armamentista mundial”.
Espía y reprograma sistemas industriales, capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados.
El primer gusano que incluye rootkit para sistemas reprogramables PLC.
Medio MB de tamaño y escrito en varios lenguajes de programación como C y C++.
Stuxnet ataca a equipos con Windows empleando cuatro vulnerabilidades de día cero de este sistema, su objetivo son sistemas que emplean los programas de monitorización y control industrial (SCADA) WINCC/PCS 7 de sistemas.
Se propaga mediante USB infectadas, luego aprovecha otros agujeros y así contaminar los demás equipos con WinCC conectados en red, logrado este primer paso Stuxnet emplea contraseñas por defecto para obtener el control.
El número de vulnerabilidad de día cero de Windows que aprovecha es poco habitual, aunque este tipo de errores son comúnmente aprovechados por hackers y diseñadores de malware ya que permiten entrar al sistema antes de que este haya instalado todas las actualizaciones de seguridad.
PAÍSES INFECTADOS CON STUXNET
|
PAÍS
|
ORDENADORES
INFECTADOS
|
|
IRÁN
|
62867
|
|
INDONESIA
|
13336
|
|
INDIA
|
6552
|
|
ESTADOS
UNIDOS DE AMÉRICA
|
2913
|
|
AUSTRALIA
|
2436
|
|
GRAN
BRETAÑA
|
1038
|
|
MALASIA
|
1013
|
|
PAKISTÁN
|
933
|
|
ALEMANIA
|
15
|
Información dada por la empresa de seguridad Symantec en
agosto de 2010.
Siemens ha puesto a disposición del público una herramienta de detección y eliminación de Stuxnet. Siemens recomienda contactar con su soporte técnico si se detecta una infección, instalar los parches de Microsoft que eliminan las vulnerabilidades de Windows y prohibir en las instalaciones industriales el uso de memorias USB ajenas o no controladas. También la empresa BitDefender ha desarrollado una herramienta gratuita para eliminar Stuxnet.
INTRODUCCIÓN DUQU
Los investigadores de Symantec encontraron un archivo de controlador que parece ser un componente del infame malware Duqu. El nuevo controlador fue compilado el 23 de febrero de 2012, y representa sólo una pequeña parte del entero código de ataque. La función del driver es cargar el resto de la amenaza después de que se reinicie el ordenador. Este driver particular pretende ser un controlador de Microsoft Class, llevando una versión diferente de información que las variantes vistas previamente. Los autores de Duqu han hecho algunos cambios menores para garantizar que la pieza de malware es capaz evitar ser detectado por el software antivirus. Duqu aparenta ser una mejora de lo que es Stuxnet, la única diferencia es que este no es un gusano sino un virus troyano ya que desde su aparición no se detectaron propagaciones de este, ya que tiene un periodo de vida de 36 días y se autodestruye según estudios del código de este virus.
DUQU El troyano Duqu podría ser muy peligroso, algunos lo denominan Stuxnet 2.0. Un grupo de programadores y analistas de seguridad han conseguido descifrar el lenguaje de programación del mismo, lo que permitirá crear técnicas que permitan el control del mismo y evitar su expansión. Este malware es una variante del arma cibernética destinada a retrasar la capacidad de Irán para fabricar bombas nucleares, Stuxnet . Después de aislar y analizar el troyano y tras la colaboración y sugerencias de centenares de programadores, los analistas de Kaspersky Lab dicen haber resuelto que el lenguaje no es nuevo aunque contaba con un alto grado de optimización y personalización, sin rastro de cualquier firma indicadora que pudiera dar pistas en el código de ensamblador que pudieran ser leídos como una huella digital. Así, Duqu estaría escrito en lenguaje C y compilado con el Visual Studio 2008 de Microsoft, aunque incluiría una extensión personalizada conocida como “OO C” para combinar programación orientada a objetos con C. El virus Duqu aprovecha una vulnerabilidad desconocida de Windows para su expansión. Microsoft ya ha anunciado una actualización que cerrará el agujero descubierto. De hecho, los especialistas no descartan que la autoría de Duqu sea de los mismos que crearon Stuxnet, un virus con un objetivo claro: los sistemas industriales. Las instalaciones nucleares de Irán han sido una de las víctimas predilectas de Stuxnet. Los autores de Duqu escogen a sus víctimas a través del correo. Si se abre un documento de Word, éste infecta el ordenador y el atacante obtiene el control de la máquina. A través de ella puede contagiar el sistema informático de la corporación atacada y robar datos. Según los investigadores de Symantec, el objetivo de Duqu es conseguir datos y activos de las empresas, por ejemplo sobre el diseño del sistema de control de una planta industrial, para conseguir llevar a cabo más fácilmente un ataque. Duqu solo ha sido localizado en un puñado de organizaciones, principalmente las relacionadas con esta actividad industrial. En comparación con Stuxnet, el programa está pensado para permanecer activo durante 36 días en el sistema infectado, después se autodestruye. Como Stuxnet, Duqu trata de probar su autenticidad utilizando un certificado digital robado, al parecer a una compañía de Taiwán. Symantec pudo revocar este certificado al descubrirse que había sido sustraído.
CONCLUSIONES
En base a lo visto en clase y la investigación sobre este tipo de virus pude comprobar el verdadero objetivo de un virus desde sus inicios hasta hoy en día, lo único que ha cambiado es que ahora se ve como un buen negocio el cual esta controlado por “organizaciones criminales” o en algunos casos gubernamentales como el caso de Stuxnet y Duqu.
También puede comprobarse que hay ocasiones en que el virus puede salirse de control y no cumplir su objetivo, lo cual no deja de ocasionar problemas para los servidores que lo contengan y para los propietarios de estos.
REFERENCIAS WEB
http://www.symantec.com/es/mx/theme.jsp?themeid=stuxnet
http://www.theinquirer.es/2012/06/01/el-virus-stuxnet-fue-creado-por-estados-unidos-e-israel.html
http://www.emol.com/noticias/tecnologia/2012/06/11/545025/virus-stuxnet-y-flame-comparten-parte-de-su-codigo-fuente.html
http://www.muycomputer.com/2012/03/21/el-troyano-duqu-al-descubierto
http://news.softpedia.es/La-primera-variante-del-malware-Duqu-de-2012-fue-descubierta-por-Symantec-259924.html
http://www.tuinforme.com/index.php/variedades/tecnologia/2456-nuevo-malware-qduquq-hace-dano-en-la-red
No hay comentarios:
Publicar un comentario